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第 八 届 全 国 网 络 与 信息 安全 防护 峰会 


About us 依靠 程序 分 析 理 论 、 编 译 技术 、 网 络 攻防 、 并 行 


计算 、 智 能 计算 等 技术 ， 利 用 国家 超 算 中 心 的 计 
算 资 源 ， 紧 贴 国家 网 络 空 间 安 全 战略 需求 、 国 产 
软件 开 上 友 测 试 产 业 发 展 需 要 ， 开 展 软件 安全 方向 


Intelligent and ParallelAnalysis of Software Security lab 


用 超级 计算 机 算 安全 


软件 安全 基 
础 理论 方法 


软件 分 析 基 础 
理论 


安全 形式 化 验 


下 


超 算 + 软 件 
安全 ”方向 


超 算 + 漏洞 控 
掘 


超 算 + 软 件 基 
因 分 析 


软件 安全 智能 并 行 分 析 的 前 汉 持 术 研 究 立 
湖南 省 重点 实验 室 的 前 沿 近 术 研究 和 人 才 培 养 


软件 智能 测 
试 方向 


智能 单元 测试 


智能 模糊 测试 


面向 领域 的 智 
能 测试 


软件 供应 链 


安全 方向 


软件 安全 开发 
方法 及 工具 


自主 可 控 信 息 
系统 安全 评估 


软件 弹性 安全 


恶意 代码 检测 
与 追踪 溯源 
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提纲 
二进制 代 码 比 对 分 析 的 作用 
* 研究 现状 三 我 们 的 研究 
“ 二进制 代码 分 析 云 平台 BigCodeDiff 
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二 进 制 代码 同 源 比 对 分 析 
* 在 闭 源 情况 下 找到 二 进 制 代码 之 间 存在 〈 源 ) 代码 复 用 、 存 在 的 差 


01311090 matn 


pprinmgay/ 


01311090 
013110C9 马云 / 0xFF 
013110CC 0xi3110C2 


01311090 

013110CE eax7 SSs:[febp+0xFPEFFPFE8] 
013110D [3 

013110D2 eaxy Dll 0xL0 

0D13110D5 j Dx1l1311I0DR 


00401090 
004010CE 
004010D1 
004010D2 


004010D5 


mmaln 004010 


00401090 
004010C9 eaXr DTI 0xFF 
004010CC 0x4010C2 


eaxy SS:1febp+0xFEFEFEFFEE8] 
已 S 主 


eaxy 站 1L 0x10 


0x4010DF 
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进 制 比 对 的 应 用 场景 


人 随 硝 开 源 项 目的 快速 增长 ， 软 件 旭 穷 已 成 为 维护 软件 行业 的 健康 可 信 环 境 的 严 


"补丁 分 析 : 对 更 新 前 后 的 二 进 制程 序 进行 相似 性 分 析 ， 得 到 所 更 改 的 内 容 并 分 析 漏 洞 成 因 


”恶意 代码 同 源 检 测 : 通过 代码 片段 的 相似 性 发 现 恶意 代码 的 家 族 关 系 ， 尤 其 对 APT 样 本 进行 细 
稳 度 的 同 源 分 析 是 攻击 溯源 的 于 要 于 段 


逆向 分 析 辅 助 : 通过 相似 性 对 比 ， 逆 向 人 员 能 够 P 的 分 析 结 果 应 用 到 它 的 后 续 版 本 P” 上 ， 从 
而 减轻 逆向 工作 量 


。 通 过 已 知 漏洞 识别 发 现 未 知 漏洞 
。 自主 可 控 分 析 : 自主 可 控 真 假 难关 
”代码 成 分 分 析 
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二 进 制 代码 比 对 分 析 作 用 


“ 软件 成 分 分 析 与 旭 穷 检测 


通过 对 可 疑 软 件 的 二 进 制 与 受 保护 软件 的 二 进 制 进行 比 对 分 析 ， 
能 够 检测 可 疑 软 件 中 代码 的 抄 黎 情 况 。 


“例子 
我 们 通过 测试 多 赤 市 面 上 的 压缩 软件 与 开源 软件 7zip 比 对 ， 辰 
现 了 几 寻 软件 仔 在 大 量 函 数 和 代码 请 断 与 7zip 相 同 或 逻辑 相似 。 


网络 与 信息 安全 防护 峰 


loc_199875FC: 
ecx，[ecx+2cCh] 
dl 


1oc_19997618 : 

moOU ecx，[ecx+2Ch] 
SetzZ dl 
eax，[ecx+eaxx]| |mou eax，[ecx+eaxsih] 
edx push edx 

Pdx，[eax+s] edx，[eax+1ph] 
short 10c_198997689 


eax，[ebp+arg9_#] 
eax ，eaxX 
short loc_19967636 


ecx，[ebp+arg_g] 
loc_19987689 : eax，[ecx+3eh] 
mou ecx，[ebp+*arg_19] jn short loc_19987611 
call Sub_ 196908763D 外 


ieSd， 性 
了 jz Short 1Ioc_10008983 


1oc_10008987: 


rax，[rcx+hih] rax，[rcx+Agh] test edx，edx 
edx ，edx edX ，edX j5 Short loc_100089CN 
rdx，[rax*rdxn“8] rdx，[raxrrdxn8] 


rdx ，[rdx+*8] rdx，[rdx*1eh] 
short loc_10008991 


10oc_10008991: 
rcx，[rsp*28hyarg 20] 
rab 
sub 19907CBA 了 
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“例子 


某 厂商 交换 机 和 思科 Catalyst 2960X， 从 公开 渠道 获取 的 固件 进行 
比 对 分 析 。 发 现存 在 高 度 相似 性 ， 可 以 断定 两 份 固件 大 部 分 代码 同 源 


对 象 样本 参考 
参数 
名 称 c2960x-universalk9-mz.152-5.E1 
发 布 时 间 未 知 2016 年 11 月 416 日 
文件 大 小 〈byte) 25774080 
代码 长 度 (byte) 65363360 65371340 
数据 长 度 (byte) 65213044 65247092 
函数 数量 255690 255681 


对 二 者 的 相似 性 分 析 采 取 了 最 基本 、 最 保 3 
守 的 对 比 算法 ， 得 出 其 中 46% 的 函数 完全 相 本 | | 
同 ， 5% 存 在 不 同 程度 的 差异 a Best Partial Unreliable Unmatched 
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二 进 制 代码 比 对 分 析 作 用 


。 已 知 漏洞 识别 
通过 对 待 检 测 二 进 制 代码 与 漏洞 库 中 人 存在 漏洞 的 二 进 制 国 数 进行 
比 对 ， 定 位 漏洞 的 影响 沁 围 。 


* 例子 

CVE-2019-1208 漏 洞 是 微软 今年 6 月 公布 的 一 个 vbscript 漏 洞 ， 
随后 在 微软 的 9 月 补丁 星期 二 上 友 表 并 修复 ， 报 告 中 提 到 这 个 漏洞 通过 
补丁 比 可 以 航 友 现在 rtJoin 六 数 中 ， 在 对 数组 内 的 元 素 进 行 操作 二 后 ， 
加 了 一 对 SafeArrayLock/safeArrayUnlock 团 数 。 
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ER EE 
E 下 EE 
和 [EEEE3) 
Er 99836EBD ”rtJoin 
86636F2F 。_push ds:[ed 人 
96636F31 call _ ds;[__inmp_SafeArrayLock@4] 上 / 
-一 ~-inmp_--SafeArrayLOCcK 
二 86636F37 mov SSsi[ebp+var_C]，eax 2 
人 98636F3A_ rest eax er 
医 > 
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通过 代码 片段 的 相似 性 发 现 恶意 代码 的 家 族 关系 ， 尤 其 对 APT 样 
本 进行 细 粒 度 的 同 源 分 析 是 攻击 湖 源 的 重要 手 鳃 、 
例子 : 从 震 网 /火焰 / 毒 区 /高 
病毒 样本 进行 PT 溯源 分 析 


TILDED PLATFORM FLAME PLATFORM 


2012 Kaspersky Lab ZAO. AI Rights Reserved, 


全 国 网 络 与 信息 安全 防护 峰会 “5e0LO9 


。 例子 

不 久 前 多 亚 后 门 病毒 利用 茶 驱 动 软件 短 时 间 内 大 规模 感染 数 万 台电 脑 ，。; 
过 二 进 制 同 源 代 码 比 对 ， 我 们 发 现 推送 病毒 执行 的 升级 模块 ， 与 “人 生日 历 ” 
升级 模块 代码 存在 同 源 性 。 


198634F 


; MaxCount 


MaxCount 号 3 MaxCount 
push < f 
lea 


x。[edi+eA4h] x。[edi+eaah] 


，BFFFFFFFFh BFFFFFFFFh 
168824Fe < 692549 


BEh 

offset aUnpCdat: 
eax。，esii 
si，[esp+164h+: 
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。 例 子 二 
在 2018 年 的 阿里 “ 功 守 道 ” 软 件 供应 链 安全 大 赛 中 ， 国 防 科 大 团队 以 “holiday” 战 队 代表 


参赛 。 利用 大 代理 比 癸 过 的 抽 了 大 量 同性 在 这 些 函 数 中 快速 的 定位 出 了 隐藏 
的 恶意 代码 ， Le 


上 
5ub_40138F("odb pull /4 -aeerrcegpre ider ,conteocts/dotebosc: ie 人 
Sub Per 和 er /ereans 5 codeblocksapkstor .com/filec/cpp， \Yc 7 
Fodb install < SS te 和 = 


Puts Pres: 
getch(); 
j_]j_free(vB); 
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二 进 制 代码 比 对 分 析 作 用 


。 入 回 工 程 

， 性 对 比 ， 逆 向 人 员 能 够 户 的 分 析 结果 应 用 到 它 的 后 续 版 
本 P 上 ， 从 而 减轻 逆向 工作 量 
“例子 


在 对 基 IOT 设 备 道 向 过 程 中 ， 二 进 制 代码 比 能 够 直接 帮助 逆向 
人 员 完 成 了 前 期 的 大 量 工作 。 通 过 代码 溯源 可 以 告诉 逆向 人 员 固 件 中 
使 用 的 开源 库 情 况 ， 和 分 模块 冰 数 功能 ， 
直接 搜索 易 受 攻击 的 国 
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对 某 IOT 设 备 固件 溯源 分 析 识 别 情 ; 


“|ippng: 1.2.29 

“zlib: 1.2.3 

“ Open99L: 1.0.1.j 
“mDNSResponder: unknown 
“ g9OAP: 2.7 


上 Ourilibrary functions 
国 ”Otherbinary functions 图 Raw file bounds | watched function 


OpenSSI 


35 寺 


277 68 2857 
0 克 5 
O O 8 

9296 9196 829% 


(1oo96) (969%0) (8590) 


15 


第 八 届 全 国 网 络 与 人 


提 纲 
“ 二进制 代码 比 对 分 析 的 作用 
* 研究 现状 三 我 们 的 研究 
“ 二进制 代码 分 析 云 平台 BigCodeDiff 
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二 进 制 同 源 分 析 的 技术 挑战 


。 可 汪 识别 同 源 代 码 的 粒度 〈( 卢 段 、 冰 数 、 或 整个 二 进 制 文件 ) ， 独 立 越 细 难 


“准确 性 : 局 准确 性 可 以 大 大 减少 后 续 人 工 处 理 开 销 ， 应 用 结果 可 信 

“ 跨 平 台 : 相同 源 代 码 可 能 航 编 译 成 不 同 平台 (指令 集 、 操 作 系 统 ) 上 的 二 进 制 
代码 ， 需 要 不 受 平 台 特 性 影响 识别 代码 同 源 

是 二 进 制 代码 久 混 淆 变换 ， 加 大 同 源 分 析 的 难度 ， 要 从 语义 层面 识别 同 
于 大 代码 ， 海 量 代 码 的 细 粒 度 比 对 仓 在 性 能 问题 ， 需 要 并 行 、 可 扩展 


SN 
习 用 牛 / 条 
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二 进 制 代码 比 对 研究 现状 村 


一 基于 程序 依赖 图 
Gemini 基于 控制 流 图 CBCD 
DisCOVRE 


Deckard 


人 基于 树 一 


az TEDEM 
aDif 基于 原始 字 节 c 


， 二 进 制 代码 比 对 | 一 | 二 ms 


pinHunt ”上 | 基于 符号 执行 


iBinHunt 基于 自然 语言 处 理 Asm2Vec 


Diaphora ， 人 
BinDiff 0 基于 I/O 样 例 


BlnGo 


。BinDIff [Google]: 
可 跨 平台 
目标 : 实现 多 平台 的 二 进 制 代码 比 对 


方法 : 使 用 多 种 特征 进行 同 源 分 析 ， 包 括 : 
基本 块 数 量 ， 基 本 块 反 编译 代码 ， 控 制 流 


sub_41ED06 1 航 车 和 忆 和 于 癌 


sub_42B98E 


| 30c00UNI - 
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ED 令 久 久 
二 进 制 代码 比 对 研究 现状 -esse 
。Multi-MH [S&P: 15] 

可 跨 平 台 

目标 : 通过 求解 不 同 输入 的 输出 结果 实现 无 源 代 
码 跨 平 台 二 进 制 比 对 < 
方法 : 1、 汇 编 指 令 转 换 成 中 间 表 示 CI 


2、 使 用 符号 执行 求解 基本 块 输入 /输出 值 r 刘 


1bu V0，0(al) 
addiu al，1L 


MIPS 
SN 


3、 使 用 MinHash 作 为 LSH 求 解 距 离 讽 : 
4、 基 于 CFG (控制 流 图 ) 匹 配 实现 函数 比 对 国 :: 
国 3 

:| 

1 3 让 

| 主 引 

[El 


Intermediate Representation 


(=R3 (Concat #x00 ((extract 7 0) (IND zl)))) 
(=R1 (bvadd R1 1) 


(=Vv0 (concat #x00 ((extract 7 0) (IND al)))) 
(=al (bvadd al 1) 


(=aML ((extract 7 0) (IND ESI) ) ) 
(=ESI (bvadd ESIT DF) ) 


1/0 Pairs 


Semantic Hashes 


Semantic Hashing 
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二 进 制 代码 比 对 研究 现状 “ 


和 
本 凡 
e M 避 |ti M 日 [9 以 P 1 D] openSSLv1.0.1f, ARM vs, MIPS, MultMinHash 。 @ 
上 BusyBox v1,21, ARM vs,. x86, k-MinHash ”5 
BusyBox v1,20 x86 vs. BusyBox v1.21 x86, k-MinHash ”和 
口 跤 xz 人 Last 
号 | mm | 0 % 20 % 40 % 60 % 80 % 100 % 


目 标 5 通过 求解 不 同 输入 的 输出 结 果 Cumulative function ratio 
实现 无 源 代 码 跨 平台 二 进 制 比 对 


实验 : 采用 BusyBox 和 OpensSL 的 相 


同 源码 不 同 平台 检测 ;检测 跨 平台 的 人 
Heartbleed 记 洞 。 ARM -yx86 
意义 : 为 跨 平 台 二 进 制 比 对 提供 一 种 ee 
SA NI AN 宇 MIPS + x86 
不 足 : (1) 时 间 开 销 过 大 ;(2) 准确 cornun 
率 不 尽 人 意 ， (3) 跨 编 译 器 和 编译 优 AR 
化 选项 鲁 棒 性 较 差 x86 。 一 MIPS 


X86 一 了 DD=WMRI 
Xx86 ”一 ReadvyNRAS 


Heartbleed 漏 洞 检测 
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可 跨 平台 
目标 : 基于 ACFG 检 测 跨 平 台 的 二 进 制 
代码 相似 检测 


方法 : 1、 提 取 冰 数 ACFG 
4CrG， 属 必 共 和 沛 可 外 全 和 大将 针 J549 允 和 消 加 


2、 对 海量 ACFG 聚 类 
3、 使 用 NN 算 法 计算 函数 向 量 
4、LSH 全 局 搜索 


二 进 制 代码 比 对 研究 现状 


。 GOenlus [CC9: 16] 


Type 


Statistical Features 


Structural Features 


Feature Name 

9tring Constants 

Numeric Constants 

No. of Transfer Instructlons 
No. of Calls 

No. of Instructions 

No. of Arithmetic Instructions 
No. of offspring 

Betweeness 


Weight (aQ) 
10.82 
14.47 

0.54 

60.22 
41.37 
53.05 
198.67 
30.66 
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二 进 制 代码 比 对 研究 现状 


DIR-810L_REVB_FIRMVWWVARE_ 2.03B02 DIR-810L_REVB_FIRMVWARE 2.02.B01 
@ GO e 门 | U S [CC q ? 1 0] CVEE Patched “Vulnerability Type CVE Patched ”Vulnerability Type 
CVE-2016-0703 ”No Allows man-in-the-middle attack | CVE-2015-0206 ”No Memory consumption 
CVYE-2015-1790 No NULL pointer dereference CVE-2014-0160 Yes Heartbleed 
可 跨 | 合 CVYE-2015-1791 Yes Double free CVE-2015-0289 ”No NULL pointer dereference 
CVYE-2015-0289 No NULL pointer dereference CVYE-2016-0797 ”No Heap memory corruption 
is 其 AcC F G 会 汕 | 太 ST 人 人 -一 j 井 CVYE-2014-8275 ”No Missing Sanitation check CVYE-2010-0798 ”No Memory consumption 
目 标 。 本 检 测 | 足 平 吕 的 二 进 CVE-2015-0209 ”No Use-after-free CVE-2014-3513 ”No Memory consumption 
制 | 代码 相 似 检 测 CVYE-2015-3195 ”No Mishandles errors CVYVE-2014-3508 ”No Information leakasge 
一 MU 次 ## ## 提 CVE-2015-0206 ”No Memory consumption 
## 提 CVE-2014-8275 ”No Missing sanitation check 


实验 : 友 现 设备 多 个 已 知 未 修复 漏洞 ， 


与 DiscovRe 比 较 1 将 闻 
意义 : 提出 将 函数 之 间 图 的 相似 性 转 让， 计 ou 
换 成 与 中 心 节点 距离 的 相似 性 ， 漂 
不 足 : (1 ) 仅 依 赖 于 CFG 1 无 法 抵 汪 [ E [ | DiscovRe 
抗 改变 CFG 的 代码 混淆 :(2) 人 为 的 选 。 抽 更 赔本 二 
择 基本 块 属性 ， 存 在 一 定局 限 性 02 本 ES 

00 50 We 

Top 下 False positive rate 


al) Recall rates across different threshold 开 b) ROC curves for different apBBproaches 
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进 制 代码 比 对 研究 现状 ES - 


ACFG 
。 Gemini [CCS' 17] embeddne: - 医 到 
可 路 平台 有 
目标 : 基于 ACFG 生 成 向 量 表 示 检测 中 平台 ”大 表 一 -一 是 


的 二 进 制 代码 相似 检测 


Embeddings 
Rs for 


方法 : 1、 提 取 函 数 ACFG nd 
2、 基 于 神经 网 络 生成 向 量 表示 In 1 
3、 使 用 蛮 生 网 络 实现 相似 性 检测 Vulnerability search Binary Checking Search 
Attribute name 
String Constants 
Numeric Constants 


Block-level attributes 0 0 


No. of Instructions 
No. of Arithmetic Instructions 


Inter-block attributes No. of offspring 
enness 
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二 进 制 代码 比 对 研究 现状 


。 Gemlinl [CC9: 17] 
可 跨 平台 


目标 : 基于 ACFG 生 成 向 量 表示 检测 跨 平台 
的 二 进 制 代码 相似 检测 


实验 : 与 Genius 比 较 
意义 : 提出 使 用 挛 生 网 络 实现 相似 性 比较 


不 足 : (1) 仅 依 赖 于 CFG， 无 法 抵抗 改 
变 CFG 的 代码 混淆 ;(2) 人 为 的 选择 基本 块 
属性 ， 人 存在 一 定局 限 性 


1.0j 1.0 
二 
量 0.8; 0.8 
0.6; 0.6 
于 
太 
8&o4| 0.4 
| 
户 0.2; 0.2 


(a) Results on the similarity testing set 


” yv2i POLICY_MAPPINGS 
” genrsa_main 
” priv_decode _gost 


” prompt_info 
” ssl3_get_ message 
0.0 


0.5 
False positive rate 


(c) Results on the small-graph subset 
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。QDiff [ASE:18] 


可 跨 平 台 

目标 : 对 跨 版 本 ， 跨 编译 

器 ， 跨 平台 的 二 进 制 进行 

相似 代码 检测 

特征 提取 : 原始 字 节 

方法 : 1、 基 于 CNN( 卷 积 ; 
2、 调 用 图 的 出 度 入 度 
3、 导 入 函数 的 匹配 


导入 函数 
经 网 络 ) 李 生 网 络 将 原始 字 节 转 成 向 量 


9g(g) = (in(1g),ouvt(I))  D2Go) = lgGo) -9Ga)l 


D34Uoq, 厂 ) = |P(iraptdo), iptBa) mn inzbp(Bi)) 一 
PimazpUz), imp(Ba) mn inzp(Bz)) 


D109, 厂 ) 一 | 0) 一 三; g)| 
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二 进 制 代码 比 对 研究 现状 


? ne binaries 
由 CDI 什 [ASE 18] RE 9 vul-func found? | Recall@l | vul-func found in top-1? | Recall@l | MRR 
CVE5OEOIGO | Head .609 | 0.695 
可 跨 平 台 CVE-20146271 | Shellshock 559 | 0577 
户 CVE-2014-4877 wget-1.15 wget-1.16 X 0.555 V 0.691 “| 0.664 
一 AN CVE-2014-7169 Shellshock2 bash-4.3 bash-4.3.30 久 0.485 久 0.559 0.577 

目标 : 对 跨 版 本 ， 跨 编译 四 

示 : 对 跨 版 本 ， 跨 编译 -Eee aeibeinTine| apt 422 | 0364 
稚 平 台 的 二 进 制 进行 -Enass | we 301 | 0261 
器 ， 跨 平台 的 二 进 制 进行 -天 关 芋 乓 攻 下 攻 二 二 二 和- 


相似 代码 检测 1 
实验 : (1) 与 BinDifftt 较 发 现 已 知 
沁 词 (2) 对 coreutils 进 行 测试 
不 足 : 1、 基 于 先 验 知识 规定 权重 了 
2、 跨 平台 TOP-1 准 确 率 较 低 “ 人 


Recall@1 
吕 


启 1KA， 大人: 0.41 PP iff- 
71OP-K， 红 寺 局 戌 南 K 个 大 为 而 庆 兴 顽 CD 人 
一 一 aDiff-3f 
3 编 i TOP-1， 谈 较 一 BinDiff 
、 上 临 负 ] 征 -1 上 庄 杀 举 抠 人 3 ER 人 
山口 PE ES 蕊 品 世 切 山 互 二 由 由 忆 口 > 忆 与 与 山 七 万 二 癌 大 三 兰 CQUJwE=OE > QU 三 LU 兰 > 上 之 姜 兰 二 口 | 台所 冯 品 So 一 dtEPbout EUOOESoEn 
生生 直 二 在 生 训 二 三 生 3 村 二 全 汰 二 3 汪汪 在 生 再 下 下 芷 竺 二 下 相生 竺 二 碍 让 生 和 二 寺 和 
& SEEc25 0 忆 82 0 &cer <ce & 愉 E 荆 SEES 蕊 志 上 加 5 引 8e” SS 
5 “oouub 总 阁 于 可 已 =E 交 。 到 中 名 5 首 ”3 三 
名 5 2 E as = 5 要 目 
1 刁 
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二 进 制 代码 比 对 研究 现状 


3. Estimate 
Reposit 人 和 庆 旧 
， 外 让 1. Training Representation 生计 和 由 全 
。Asme2yV S&P': 19 站 
9 G C 。 Repository Function f0 Learning Model 
Repository Function f1 
人 人、 | Repesiomponcionfa | 
个 口 跨 半 吕 2. Produce 2 
Repository Function f2 | 2 
二 1 
-=---- 一 一 
所 


基于 自然 语言 处 理 人 生生 玫 一 一 


目标 : 使 用 语义 表示 实现 抗 代码 。，， -ar 
混淆 和 编译 优化 的 二 进 制 同 源 检 


串 er 
人 Map each outputtoken to AAAAAAALAAAAAAAAAALALAA< 
习 imensi t 


pu mp 人 
万 法 : 利用 RVz-PM 模 型 为 吐 个 玖 | 
函数 生成 语义 向 量 ， 使 用 余弦 距 0 人 人 
离 判断 同 尖 相 似 度 Er 嫩 马 一 

到 me 3 交 

cmp rbx，rax Average 
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。Asm2vec [9S&AP': 19]: 
不 可 跨 平台 

基于 自然 语言 处 理 

实验 : 与 现 有 静态 工具 比较 
意义 : 证 明了 自然 语言 处 理 技术 
企 二 进 制 代码 比 对 的 有 效 性 
不 足 : 局 限于 单一 平台 ， 无 法 进 
行 跨 平 台 的 二 进 制 代码 比 对 


二 进 制 代码 比 对 研究 现状 


Methods 


Precision (log-scaled) 


Recall 


瑟 - Asm2vec 会 Constant 2 关 GraphletExtended 过 MixGraph -六 n-perm 


-Composite 一 GraphletColored 全 MixGram 


号 n-gram 


今 _ PV(BWDBOW) 
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我 们 团队 的 工作 


。 基于 LLVM |IR 的 跨 架 构 函 数 比较 算法 
。 全 用 RetDec 工 具 将 二 进 制 文 件 转化 为 LLVM 


O 


。 使 用 改编 的 SimHash 方 法 将 函数 转化 为 向 量 
形式 并 计算 函数 间 相 似 度 


还 历 关键 字 集合 将 s(k) 转 化 为 32 位 
k(f， 取 关键 字 k 二 进 制 表示 


如 果 V 第 i 个 元 素 大 
于 0， 将 signature 第 | 二 是 


否 


逼 历 画 数 集合 F， 
取 画 数 f， 初 始 化 向 
量 V 和 二 进 制 数 
Signature 为 0 


如 果 第 i 位 为 1，V 第 
i 个 元 素 加 上 v(k)， 
否则 减 去 v(k) 


i 位 置 1， 否 则 和 0 


二 进 制 文件 A 


分 割 块 合并 算法 


寄存 器 模糊 化 


髓 六 注 示 


地 址 重 定向 


关键 字 定 义 及 
权重 衡量 


SimHash 指 纹 提 取 


SimHash 指 纹 查询 


二 进 制 文件 B 


分 割 块 合并 算法 
寄存 器 模糊 化 
地 址 重 定向 


关键 字 定 义 及 
权重 衡量 
SimHash 指 纹 提 取 


SimHash 指 纹 存储 


册 竣 演示 间 


二 进 制 文件 A 中 每 
个 画 数 的 相似 画 数 
集合 
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菇 验 给 果 


“准确 性 


跨 指令 以 构 的 对 比 算法 


场 晨 : 


相同 版 本 的 源码 ， 
面向 相同 的 以 构 ， 
使 用 不 同 的 编译 


选项 进行 编译 


查询 二 进 制 
libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1f 
-O2 X04 
libssl.so.1.0.0 1.0.1f 
-O2 X04 
libssl.so.1.0.0 1.0.1f 
-O1 Xx04 
minizip 1.1.1 
-03 ARM 


minizip 1.1.1 
-O3 MIJIPS 


目标 二 进 制 
libssl.so.1.0.0 1.0.1f 
-O2 X04 
libssl.so.1.0.0 1.0.1f 
-O1 x04 
libssl.so.1.0.0 1.0.1f 
-OU0 X04 
libssl.so.1.0.0 1.0.1f 
-O1 Xx04 
libssl.so.1.0.0 1.0.1f 
-OU0 X04 
libssl.so.1.0.0 1.0.1f 
-OU0 X04 
minlizip 1.1.1 
-O1 ARM 
minlizip 1.1.1 
-O2 MIJPS 


相似 度 , 付 确 率 ”优化 后 准确 率 


89.08%0 
84.429%p6 


90.00%6 
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菇 验 给 果 


“准确 性 


跨 指令 以 构 的 对 比 算法 


场景 : 


相同 版 本 的 源码 ， 
面向 不 同 的 以 构 ， 
使 用 相同 的 编译 


选项 进行 编译 


查询 二 进 制 
libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1f 
-O1 x064 
libssl.so.1.0.0 1.0.1f 
-O2 MIPS 
libssl.so.1.0.0 1.0.1f 
-O3 MIPS 
Iminlizip 1.1.1 
-O3 X04 


minlizip 1.1.1 
-O1 MIPS 
minlizip 1.1.1 
-O2 MIPS 


目标 二 进 制 
libssl.so.1.0.0 1.0.1ff 
-03 ARM 
libssl.So.1.0.0 1.0.1f 
-O1 ARM 
libssl.so.1.0.0 1.0.1f 
-O2 X04 
libssl.So.1.0.0 1.0.1f 
-03 ARM 
minlizip 1.1.1 
-03 ARM 
minlizip 1.1.1 
-O1 X04 
minlizip 1.1.1 
-O2 ARM 


相似 度 准 确 率 


01.83%0 


87.019p 


08.189%6 


83.827p 


优化 后 准确 率 


07.349%0 


78.79%0 
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菇 验 给 果 


“ ' 佳 确 性 
跨 指令 架构 的 对 比 算法 


场景 : 

相同 版 本 的 源 码 ， 
面向 不 同 的 以 构 ， 
使 用 不 同 的 编译 
选项 进行 编译 


查询 二 进 制 


libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1ff 
-O1 X04 
libssl.so.1.0.0 1.0.1ff 
-O2 MIPS 
libssl.sSo.1.0.0 1.0.1ff 
-O3 MIPS 
minizip 1.1.1 
-03 ARM 


minizip 1.1.1 
-O3 MJIPS 
minizip 1.1.1 
-O2 MIPS 


目标 二 进 制 
libssl.so.1.0.0 1.0.1f 
-O1 ARM 
libssl.so.1.0.0 1.0.1f 
-0O3 ARM 
libssl.so.1.0.0 1.0.1f 
-0O3 ARM 
libssl.So.1.0.0 1.0.1f 
-O1 x064 
minizip 1.1.1 
-O2 X04 
minlizip 1.1.1 
-O2 ARM 
minizip 1.1.1 
-O3 X04 


相似 度 准 确 率 


38.33%A0 


73.325%p0 


83.009%0 


34.419%p 


优化 后 准确 率 


03.199%0 


88.339%0 
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菇 验 给 果 


。) 储 确 性 

跨 指令 架构 的 对 比 算法 
场景 : 
不 同 版 本 的 源码 ， 
面向 相同 的 架构 ， 
使 用 相同 的 编译 
选项 进行 编译 


查询 二 进 制 


libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1f 
-03 ARM 
libssl.so.1.0.0 1.0.1f 
-O3 MIPS 
libssl.so.1.0.0 1.0.1f 
-O3 X86 


minlizip 1.1.0 
-O3 X04 
minlizip 1.1.0 
-O1 ARM 
minlizip 1.1.0 
-O2 MIPS 


目标 二 进 制 


libssl.so.1.0.0 1.0.1g 
-O3 X04 
libssl.so.1.0.0 1.0.1g 
-0O3 ARM 
libssl.so.1.0.0 1.0.1g 
-0O3 MIPS 
libssl.so.1.0.0 1.0.1g 
-O3 X80 
Iminlzip 1.1.1 
-O3 X04 
minlizip 1.1.1 
-O1 ARM 
minlzip 1.1.1 
-O2 MIPS 


相似 度 , 准 确 率 ”优化 后 准确 率 


99.775%p0 


93.87%p0 


93.249%p 


97.039%p0 


99.92%0 


97.8076 
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买 验 结 果 


。) 稚 确 性 

跨 指令 架构 的 对 比 算法 
场景 : 
不 同 版 本 的 源码 ， 
面向 相同 的 架构 ， 
使 用 不 同 的 编译 
选项 进行 编译 


查询 二 进 制 


libssl.so.1.0.0 1.0.1f 
-O3 X04 
libssl.so.1.0.0 1.0.1f 
-03 ARM 
libssl.so.1.0.0 1.0.1f 
-O3 MIPS 
libssl.so.1.0.0 1.0.1f 
-O3 X86 


minlzip 1.1.0 
-O3 X04 
minlizip 1.1.0 
-03 ARM 
minlzip 1.1.0 
-O2 MIPS 


目标 二 进 制 
libssl.so.1.0.0 1.0.1g 
-O2 X04 
libssl.so.1.0.0 1.0.1g 
-O1 ARM 
libssl.so.1.0.0 1.0.1g 
-O0 MIPS 
libssl.so.1.0.0 1.0.1g 
-O2 X86 
minlzip 1.1.1 
-O2 X04 
minlizip 1.1.1 
-O1 ARM 
Iminlzip 1.1.1 
-O1 MIPS 


相似 度 , 付 确 率 ”优化 后 准确 率 


09.8376 


603.30% 


84.429%p6 84.429%40 
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菇 验 给 果 


。) 储 确 性 

跨 指令 架构 的 对 比 算法 
场景 : 
不 同 版 本 的 源码 ， 
面向 不 同 的 架构 ， 
使 用 不 同 的 编译 
选项 进行 编译 


查询 二 进 制 


libssl.so.1.0.0 1.0.1f 
-O3 X04 

libssl.so.1.0.0 1.0.1f 
-0O3 ARM 

libssl.so.1.0.0 1.0.1f 
-O3 MIPS 

libssl.so.1.0.0 1.0.1f 
-O2 MIPS 


minlizip 1.1.0 
-O3 MIJIPS 
minlizip 1.1.0 
-O2 MIJPS 
minlizip 1.1.0 
-03 ARM 


目标 二 进 制 


libssl.so.1.0.0 1.0.1g 
-O1 ARM 
libssl.so.1.0.0 1.0.1g 
-O1 x86 
libssl.so.1.0.0 1.0.1g 
-O1 ARM 
libssl.so.1.0.0 1.0.1g 
-O3 X04 
minlzip 1.1.1 
-O1 X04 
minlizip 1.1.1 
-O1 ARM 
minlizip 1.1.1 
-O2 X04 


相似 度 , 准 确 率 ”优化 后 准确 率 


77.319%p 


37.109%6 


70.472%p 


04.03%0 
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区 验 结 二 450000 


y=129.3x - 14742 
R2z = 0.9911 


400000 

.能 
350000 | 一 | 一 

300000 全 


250000 -一 一 一 一 > 


200000 -2 


时 间 


150000 | 一 一 一 Yy=37.758X+8019.7 


100000 


50000 | md | 


0 500 1000 1500 2000 2500 3000 3500 4000 


函数 数目 


一 @ 一 本文 实 现 的 对 比 工 具 一 @ 一 相似 的 串 行 对 比 程序 ……… 线性 (本 文 实现 的 对 比 工具 ) ……… 线性 (相似 的 串 行 对 比 程序 ) 
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我 们 团队 的 工作 


”基于 LSTM 的 李 生 网 络 的 函数 比较 算法 
使 用 自然 语言 处 理 的 词 向 量 模型 将 指令 映射 到 语义 向 量 。 万 = cy .ur 划 十 轨 ) 
使 用 LSTM 循 环 神经 网 络 ， 将 基本 块 的 指令 语义 向 量 整合 成 


基本 块 的 语义 向 量 。 G( [7 “ [1， 24| 十 访 ) 
对 应 元 素 运算 @@ 四 _ 
神经 网 络 层 “ 国 | 天台 C: = tanh(Wc . [Pizi 十 bc) 


C; = 户 * Ch 1 十 让 + CO， 
of 一 G( 帮 [AZ 十 bo) 


几 一 0 水 tanh(Cy ) 
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我 们 团队 的 工作 


”基于 LSTM 的 李 生 网 络 的 函数 比较 算法 
. 为 每 一 个 基本 块 生成 其 语义 向 量 之 后 ， 使 用 挛 生 网 络 实现 
跨 平台 的 两 个 函数 基本 块 的 同 源 比较 。 


”根据 计算 的 两 个 图 数 之 间 基 本 块 同 源 映射 的 关系 ， 计 算 两 
个 跨 平 台 阔 数 的 同 源 相 似 程度 。 
。 SimFunc(A,B)=SimBB(A,B)MAIIBB(A,B) 


第 八 届 全 国 网 络 与 信息 安全 防护 峰会 


买 验 结果 100.0 
准确 性 80.0 


$ 指 令 架 构 的 对 比 算法 有 

比较 : 全 60.0 

相同 版 本 的 源码 ， 丰 

面向 不 同 的 架构 昌 | 业 可 加 十 册 汪 让 

使 用 不 同 的 编译 昌 “| 帅 罗 二 济 二 可 划 刚 

器 进行 编译 昌 | 虹 吕 用 训 各 上 关 天 外 外 

20.04 上 国民 省 站 证 旧 R 

RS N 
有 有 肛 妥 风 可 本 本 村 
WE 有 


0.0 


SN 帮 矶 
从 cD SN 人 
录 隐 RE 了 惧 ( 纱 ( 绾 必 * 沙 故 丰 

多 


记 
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提纲 
“ 二进制 代码 比 对 分 析 的 作用 
* 研究 现状 三 我 们 的 研究 
“ 二进制 代码 分 析 云 平台 BigCodeDiff 


曙 数 角 娄 魔鬼 比 ) 9 比 对 ， 支 持 x86、x64、ARM、MIPS 等 


能 
- 天 条 识 生计 得 训 介 衣 才 作 


:9 展 
人 二 二 二 党 生 多 于 于 可 芝 二 
下 全 和 各 下 站 风衣 


拒 居 
FA 

有 二 
. 圭 多 广 作 尖 弄 四 


寺 


和 


、 高 效 索 引 等 机 制 |， 


idb 文 件 、 固 件 等 类 型 文件 


大 代码 人 和 当 二 
Codep 丰 二 


集成 算法 : 
基于 基本 块 子 图 搜索 的 一 对 多 检测 算法 
基于 表示 学 习 和 语义 疝 量 运算 的 一 对 多 检测 算法 


基于 符号 执行 和 抽象 语法 图 搜索 的 一 对 多 检测 算法 
基于 启发 式 函 数 比 对 的 一 对 一 检测 算法 
基于 中 间 语 言 LLVM IR 特 征 的 一 对 一 检测 算法 
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. 平台 架构 


尽 


分 及 同 源 
分 析 结 果 


开源 代码 二 进 制 
文件 采集 


1 

1 

1 

1 

1 

1 

1 

1 

1 

1 

让 

ea 
aa 自动 化 编译 
Co 


开源 代码 二 


开源 代码 库 进 制 文件 库 


3 
开 
3 


E 


数据 流 分 析 
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一 二 家 1 而 分 访 五 二 全 DigCodeD 


大 代码 分 析 平 台 后 台 管 理 系 统 | 数据 库 集 群 


@ 、|L7/ 一 、 力 & 构 
任务 信息 、 后 人 台 
人 人 N 
人 
分 片 存储 还 
是 按 优先 级 按 序 进入 攻 a| 
和 at 
是 按 策 略 调度 重新 闻 度 直上 会 
高 频 查 询 数据 、 
攻 任务 队列 、 蜡 党 
人 任 热 任务 队列 
调 有 调 AR 
务 度 公 党 加 aa 
调 罗 厦 和 | 
度 管 四 
本 服 理 得 理 理 
和。 于 理 | 
几 关 6 J 并 行 执行 区 着 丽 行 
一 对 一 检测 任务 一 对 多 检测 任 其 他 检测 任务 证 几 
吉 行 基 集 共 全 全 的 和 文件 服务 器 集群 
任 | ] 二 进 制 文件、 结 
务 果 文 件 等 
径 任 证 任 于 任 4 
行 
| 人 
年 行 条 行 和 全 各 
群 从 和 旺 的 迪 史 
组 
| 
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数据 存储 模型 


。 图 数据 库 采 用 JanusGraph 


( janusGraph 


。 图 数据 模型 : 
”每 一 个 Janusgraph 图 形 都 有 一 个 由 边 标 等 、 属 性 和 顶点 标签 
组 成 的 模式 。Janusgraph 模 式 可 以 显 式 或 隐 式 定义 ， 为 了 提 
下 提高 协同 开发 的 效率 ， 采 用 显示 定义 的 方 


工 vo 
”在 二 进 制 文件 中 有 两 种 图 : 函数 调用 图 和 控制 流 图 。 
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平台 使 用 


。 平台 域名 : http://www.bigcodediffcom 


大 代码 分 析 平台 | 要 codeof。 鳃 晤 ”二 略 。 请 旦 


大 代码 分 析 平台 | 虹 codepoif 。 鳃 k。 二 略 。 


任务 列表 而 谢 章 


IE 7 -和 的 
test est .11 08:47 图 
@O ID - 391189354283929600 
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平台 使 用 


* 创建 一 对 多 任务 


全 防护 峰会 


创建 一 个 任务 程序 . 


请 填写 所 需 的 详细 资料 - 


加 ] 私有 任 匈 


算法 参数 设置 


从 KR 值 ” 瑟 


最 大 k 值 302 


分 有 列 点 m 


树 的 数量 (1) 


规范 化 水 平 
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/asm-Clone/ 7284216468222422060 


好 


《》 入 伯 


从 你 的 电脑 中 选择 文件 


# 名 字 类 型 
0 aarch_bfdtest 
1 aarch_cotfit 
2 aarch_objdump 


大 小 

5419 KB 
5484 KB 
8190 KB 


/asm-clonel 7284216468222422060 


test 


上 Daarh_obldump 2367funetons -< 

上 口 ah_bfitestl fi771functionsl 

三 口 aa it 
证 口 bink_hash_table int [6blocks) 

上 癌 e 四 (7blods) 

上 上 口 aB2 aarch54 训 


functions| 


dymralocs 5bloclsl 


上 口 skors_ grok freebsd_nots[66bloclsh 
上 上 口 nac_modify_ segment_ map |52blocksl 


上 口 b put1611blocs| 
二 口 风 -arm_wfpll_antidependency (10 blocks) 
口 风 8 debug ink info |2 blocksl 
上 口 aarch64_map_one_ stub 0115 blocks| 
下 口 bformat_stringf7blocksl 
上 上 口 sf generic reloc la 
PR ai ink hae baha inivtal 芭 
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平台 使 用 
* 搜索 汇编 六 


Clone Graph Double click the nodes to show clone candidates 


搜索 汇编 函数 
Se > Sort by Similarity m > ”Search (1s delay on keydown) 及 十 一 汪 
anples pp reshal 
>》ademzt ， 你 0 地 过 口 woasm 
42- 合 bin2019-11-12 12-14-07 [1functions] 
| 
mablie adlera2 国 ] 4 二 func-2019-11-12 12-14-07 [28 blks] startea: 8 
一 | | 池 
0 ear 人 图 Ts 二 中 画 dlang_parse qualiied @ aarch_bfdtest1 
有 人 关上 D 通 dlang_parse qualified @ aarch_cxxfilt 
arg 0 二 dword ptT 8 Searching in Progress.… 1 3 
4 = wd ptr 果 j 庆 上品 通 dlang_parse qualified @ aarch_nm-new 
arg = dword ptT aa 1 和 四 
二 下 Paigia。 ， 瑚 口 画 dang_parse_mangle @ aarch_cxoxfilt 
mov ebp，esp | TD 口 通 dlang_parse_mangle @aarch_nm-new 
mov 。 ecx [ebprarg 0 1 
push 。 ebx TD 口 症 dlang_ parse_mangle @ aarch_bfdtest1 
mov ebx，[ebptarg 8 1 
宙 下 攻 口 通 find_separate debug _file @ aarch_nm-new 
， 
ad act OFEEEE 人 天上 口授 find separate debug_ file @ aarch_bfdtest1 
si，10b ' 
二 I ?上 品 通 find separate debug file @ aarch_cxxfilt 
i short loc_1000104F 1 
ke 全 ， i 口 通 dlang identifier @ aarch_cxxfilt 
AN 2 口 通 dlang identifier @ aarch_bfdtest1 
” 1 口 遂 dlang identifier @ aarch_nm-new 
Q SEARCH 
ee 站 口 通 _bfd_elf_copy_private_header_data @ aarch_bfdtest1 
口 通 _bfd_elf_copy_private_header_data @ aarch_cxxfilt 
”了 王 旧 通 _bfd_elf_copy_private_header_ data @ aarch_nm-new 
口 对 inflate @aarch_cxxfilt 
口 通 inflate @aarch_bfdtest1 


口 通 inflate @aarch_nm-new 
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网络 与 信息 安全 防护 峰会 


平台 使 用 
. 搜索 二 进 制 文件 


前 沿 “实用 - 人 才 


分 析 二 进 制 文件 


设置 册 有 的 人 


五 二 了 他 nao 


从 计算 机 中 选择 一 个 二 进 制 文件 。 这 将 是 根据 此 应 用 程序 的 存储 库 进行 搜索 . 
名 字 大 小 


aarch_readef 2024 KB 


3 


一 页 并 在 你 的 主页 上 跟踪 你 所 有 的 工作 


Anaysing binary aarch_readelfpart 1/1 


[BinaryAnalysisprocedureCompositionAnalysis.CloneSearchResources]: Disassemblying into multrparts using[ DisassembiyfactoryIDA],.[ 


completedin 42 


TclonesearchResources FunctioncloneDetectorForWeb]- Detecting clones [39funcsl，Taken 00 mins Finishing in 78 mins 
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对 话 “ 交流 - 合作 前沿 “实用 - 人 才 


平台 使 用 
. 搜索 比 对 结 


结果 列表 上 各 


结果 文件 


Hor20l9035 


二 
an708bte 
Composition-aarch_strings-2019-11-11 09-21- 
28kam 


失 这 BinanComposiion 


四 
晤 曙 
apeg 


pe 


el 
让 
让 
2 
让 
2 
了 
1 


项 宕 


克 pa 


辆 呈 


2 


页 直 肌 二 相生 吉 襄 吉 


吉 直 宫 


局 


2 
nd 


本 旺 
ad 

柄 和 

Heartia bag 


ad 央 


本 贡 arrtaheaaE 


ta 


1 
om 


岂 
0 
攻 | 
地 全 
ve 
可 诅 
ee 后 
人 
NEN SHE PT 量 
国 IE 二 
0 
sn 
加 从 


与 由 
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平台 使 用 
. 创建 一 对 一 任务 


创建 一 个 任务 请 识 邱 所 朋 的 详细 资料 . 
基本 信息 


ea 
任务 名 称 (他 
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平台 使 用 


* 执行 一 对 一 任务 


执行 中 的 任务 
2019-11-27 oa52 玫 四 


2019-11.27 oa 用 


2019-11.27 os 用 


等 待 执行 的 任务 
4EB 
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生 Flow Graph (Targel recod_am_io mumb gue@aamh bidlestl 鳃 Flow Graph (Sol 


top-1 top-2 top-3 top-4 top5 top-6 top 了 7 top-8 - 
搜索 目标 数 
) record_am to_thumb glue 回 aarch_bfdtestl [0 blks] 100% 5 = @ mll 二 
) es sharp reloc_table from section 加 aarch_bfatestl [0 blks] 100% - - 8 mnll 
) bi_get_arch 园 aarch_bfdtestl [o blks] 100% = = @ al 
)_b_ elf eheck kept_section @@aareh_bfdtestl [0 blks] 100% = 下 @ all 
) ext2Lr offset @aarch_bfdtestl [0 blks] 100% = = @ all 
bi ef sttab init @ aarch_bfitestl [0 blks] 100% > < @ nll 
) inflateCodesUsed @ aarch_bfdtestl [0 blks] 100% - - @ mnll 3 和 
bf elf get_special_section 轩 aarch_bfdtestl [0 blks] 100% @ all 
加 放 技 大 学 | 谢 南 沁 联 新 安信 息 科技 有 限 公司 联合 册 吕 协议 @@2017 
) bel64 core fle failing command 图 aarch_bfitestl [0 blks] 100% = @ null 
elB2 am_ge mark extra_sections @ aarch_bfdtestl [0 blks] 100%4 = @ null 
共 1770 条 ,每 页 | 10 条, 本 页 10 条 , 共 177 页 谢  << 全 2354567 8 5 1 > 拍 
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Thanks 


谢 副 天 注 ! 


